Kapitel 5. Dinge, die Sie über Stretch wissen sollten

	Anmerkung
	Dieser Abschnitt ist nur für Systeme relevant, die einen selbst angepassten Kernel verwenden und auf denen /usr ein separater Einbindungspunkt, getrennt von / ist. Wenn Sie die von Debian bereit gestellten Kernel-Pakete nutzen, sind Sie hiervon nicht betroffen.

Das Einbinden von /usr mit Werkzeugen, die nur in / existieren, wird nicht mehr unterstützt. Dies hat nur für einige spezielle Konfigurationen in der Vergangenheit funktioniert, und wird jetzt explizit nicht mehr unterstützt.

Das bedeutet, dass Sie auf Stretch-Systemen, auf denen /usr eine separate Partition ist, einen initramfs-Generator verwenden müssen, der /usr einbindet. Alle initramfs-Generatoren in Stretch unterstützen dies.

Durch Debian betriebene Spiegelserver werden keinen FTP-Zugriff mehr anbieten. Wenn Sie das ftp:-Protokoll in Ihrer sources.list nutzen, migrieren Sie bitte auf http:. Sie können das folgende Beispiel für die Migration in Betracht ziehen:

deb http://deb.debian.org/debian          stretch         main
deb http://deb.debian.org/debian-security stretch/updates main

# Variante für tor (erfordert apt-transport-tor):
# deb  tor+http://vwakviie2ienjx6t.onion/debian          stretch            main
# deb  tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates    main

Die obigen Beispiele enthalten weder non-free noch contrib. Denken Sie daran, diese hinzuzufügen, falls Sie diese Komponenten aktiviert haben.

Weitere Informationen finden Sie in dieser Ankündigung: Öffentliche FTP-Dienste werden abgeschaltet.

Hier eine Liste bekannter und erwähnenswerter veralteter Pakete (lesen Sie hierzu auch Abschnitt 4.8, „Veraltete Pakete“).

Zu diesen Paketen gehören:

Wenn apt-get dist-upgrade beendet ist, sollte das „formale“ Upgrade abgeschlossen sein. Nach dem Upgrade auf Stretch gibt es keine besonderen Aktionen, die vor dem nächsten Neustart erledigt werden müssen.

Standardmäßig wird der GNU-GCC-6-Kompiler aus Debian Stretch alle ausführbaren Dateien als positionsunabhängig kompilieren. Dies entschärft eine ganze Klasse von Verwundbarkeiten.

Unglücklicherweise hat der Linux-Kernel in Debian 8 (bis 8.7) einen Fehler, der dazu führen kann, dass Programme, die als „position independent executables“ kompiliert sind, ohne nähere Angabe der Ursache abstürzen (es wird z.B. nur segmentation fault angezeigt). Dieses Problem wurde in der Linux-Version in Debian 8.8 (Version 3.16.43 oder später) und in dem Kernel in Debian 9 (Version 4.9 oder später) behoben.

We recommend that you upgrade your kernel to a fixed version and then reboot before starting the upgrade to stretch. If you are running the kernel from Debian 8.8 or newer, you are not affected by this issue.

Falls Sie während des Upgrades einen Kernel laufen haben, der von diesem Problem betroffen ist, empfehlen wir dringend, dass Sie direkt nach dem Upgrade einen Neustart auf den Stretch-Kernel durchführen, um dies Problem zu beheben.

5.1.5.1. Verhaltensänderungen durch PIE für Systemadministratoren und Entwickler

	Anmerkung
	Dieser Abschnitt ist überwiegend für Entwickler oder Systemadministrator gedacht. Desktop-Benutzer werden wahrscheinlich hiervon nicht betroffen sein.

Die oben erwähnte Änderung führt zu weiteren Veränderungen, denen Sie sich bewußt sein sollten:

• Das Werkzeug file wird (neben anderen) solche Binärdateien als „LSB shared object“ klassifizieren statt als „executable“. Wenn Sie Filter verwenden, die auf Binärdateien basieren (z.B. Spamfilter), müssen diese unter Umständen aktualisiert werden.

• Statische Bibliotheken, die in eine Binärdatei einkompiliert werden, müssen jetzt auch als positionsunabhängiger Code kompiliert werden. Folgende Fehlermeldung vom Linker ist ein Symptom hierfür:

  relocation ... against '[SYMBOL]' can not be used when making a shared object; recompile with -fPIC
  

  Beachten Sie: obwohl in der Fehlermeldung „-fPIC“ genannt wird, ist es ausreichend, mit „-fPIE“ neu zu kompilieren (dies ist der Standard in den GCC6-Paketen, die Teil von Stretch sind).

• In der Vergangenheit wurden positionsunabhängige Binärdateien auf bestimmter Hardware mit Performance-Verlust in Verbindung gebracht, speziell auf Debians i386-Architektur (32-Bit Intel-Maschinen). Während GCC 5 und GCC 6 eine großartige Performance-Optimierung für positionsunabhängige Binärdateien auf 32-Bit Intel-Hardware erreichen konnten, treffen diese Optimierungen unter Umständen nicht für alle Architekturen zu. Sie sollten vielleicht die Performance Ihres Programmcodes beobachten, wenn Sie für Architekturen mit einer sehr begrenzten Anzahl von Registern programmieren.

Mangels Interesse und Möglichkeiten zum Testen hat Debian die große Mehrheit der LSB-(Linux Standard Base)Kompatibilitäts-Pakete aus dem Archiv entfernt.

Debian wird trotzdem noch eine gewisse Auswahl an LSB-Werkzeugen für interne und externe Verwendung bereitstellen, wie lsb-release und die sysvinit-Init-Funktionen in lsb-base. Desweiteren ist Debian immer noch konform mit dem Filesystem Hierarchy Standard (FHS) der Version 2.3, mit Ausnahme der im Debian Policy Manual beschriebenen Abweichungen.

Die Unterstützung für 32-Bit MIPS (sowohl Big Endian wie auch Little Endian) erfordert jetzt einen Prozessor, der das MIPS32 Release 2 des MIPS-Befehlssatzes beherrscht. Besonders der Loongson-2E/2F und darauf basierende Systeme (inklusive dem Yeeloong-Laptop) werden nicht mehr unterstützt.

Das folgende Shell-Skript kann verwendet werden, um herauszufinden, ob Ihre Maschine R2 unterstützt (davon ausgehend, dass nur ein Prozessortyp vorhanden ist). Beachten Sie, dass Loongson-3-Prozessoren unterstützt werden, obwohl sie ausgeben, dass sie nur MIPS32 Release 1 beherrschen.

if grep -E -q '^isa.*\bmips(32|64)r2\b' /proc/cpuinfo; then
	echo "OK (R2 supported)"
elif grep -q '^cpu model.*\bICT Loongson-3\b' /proc/cpuinfo; then
	echo "OK (Loongson 3)"
else
	echo "NOT OK: R2 not supported"
fi

Debian 9 enthält mehrere Browser-Engines, die einem ständigen Ansturm von Sicherheitsproblemen ausgesetzt sind. Die hohe Rate von Anfälligkeiten und die teilweise fehlende Unterstützung seitens der Originalautoren in Form von langfristig gepflegten Programmversionen machen es sehr schwierig, für diese Browser Sicherheitsunterstützung auf Basis von rückportierten Fehlerkorrekturen anzubieten. Zusätzlich machen es Abhängigkeiten zwischen beteiligten Bibliotheken unmöglich, auf neuere Upstream-(Orignal-)Versionen hochzurüsten. Browser, die auf den Engines „webkit“, „qtwebkit“ und „khtml“ aufbauen, sind daher in Stretch zwar enthalten, es besteht jedoch für sie keine Sicherheitsunterstützung. Diese Browser sollten nicht für Verbindungen zu Websites verwendet werden, denen Sie nicht vertrauen.

Für die normale Nutzung empfehlen wir Firefox oder Chromium.

Das Chromium-Paket - basierend auf der Webkit-Codebasis - wird aktuell gehalten, indem die aktuellen Chromium-Veröffentlichungen für Stable neu gebaut werden. Firefox und Thunderbird werden ebenfalls über ein Neubauen der aktuellen ESR-Veröffentlichungen für Stable aktuell gehalten.

Die Node.js-Plattform wird basierend auf libv8-3.14 gebaut, das wiederum unter einer hohen Anzahl an Sicherheitslücken leidet. Innerhalb des Projekts oder des Sicherheitsteams gibt es jedoch derzeit keine Freiwilligen, die bereit sind, den hohen Zeitaufwand zu investieren, der nötig ist, um diese immer wieder neu hereinkommenden Probleme zu beheben.

Das bedeutet unglücklicherweise, dass die libv8-3.14-, nodejs- und weitere zugehörige Pakete aus dem node-*-Ecosystem nicht für vertrauensunwürdige Inhalte, wie möglicherweise belastete Daten aus dem Internet, verwendet werden sollten.

Auch wird es während der Lebenszeit von Stretch für diese Pakete keine Sicherheitsaktualisierungen geben.

In der OpenSSH-7-Veröffentlichung wurden einige ältere Cipher (kryptographische Verschlüsselungsverfahren) sowie das SSH1-Protokoll standardmäßig deaktiviert. Seien Sie vorsichtig beim Upgrade von Maschinen, die Sie nur per SSH erreichen können.

Desweiteren hat sich der Standardwert der Konfigurationsoption »UseDNS« von ja in nein geändert. Dies kann bei Leuten, die die »from= «-Funktionalität in authorized_keys verwenden, um den ssh-Zugriff rechnerweise einzuschränken, dazu führen, dass sie ausgesperrt werden, was speziell problematisch sein kann, wenn das Upgrade von Fern durchgeführt wird.

Lesen Sie die OpenSSH-Dokumentation bezüglich weiterer Informationen.

Dieser Abschnitt behandelt einige inkompatible Änderungen in APT, die Ihr System betreffen können.

5.3.2.3. Neue Voraussetzungen für APT-Repositories

	Anmerkung
	Dieser Abschnitt ist für Sie nur relevant, wenn Sie Drittanbieter-Repositories aktiviert haben (bzw. dies beabsichtigen) oder wenn Sie ein APT-Repository betreuen.

Um die Download-Stabilität zu verbessern und die Sicherheit der heruntergeladenen Inhalte zu gewährleisten, stellt APT jetzt folgende Anforderungen an die Repositories:

• Die Datei InRelease muss verfügbar sein.

• Alle Metadaten müssen als Minimum SHA256-Prüfsummen aller Einträge enthalten. Dazu gehört auch die GPG-Signatur der InRelease-Datei.

• Signaturen der InRelease-Datei sollten mit einer Schlüsselgröße von 2048 Bit oder größer erstellt werden.

Wenn Sie ein Drittanbieter-Repository benötigen, dass nicht mit obigen Anforderungen konform ist, fordern Sie die Betreiber bitte auf, ihr Repository zu aktualisieren. Weitere Informationen über die InRelease-Datei finden Sie im Debian Wiki.

	Anmerkung
	Dieser Abschnitt ist für Sie nur relevant, wenn Sie die standardmäßige Xorg-Input-Konfiguration angepasst haben bzw. ändern mussten.

In Jessie ist evdev der Standard-Input-Treiber für Xorg. In Stretch wurde dies in libinput geändert. Falls Sie eine Xorg-Konfiguration haben, die auf dem evdev beruht, müssen Sie sie entweder auf den libinput-Treiber konvertieren, oder Ihr System neu konfigurieren, so dass der evdev-Treiber wieder benutzt wird.

Hier folgt ein Beispiel einer Konfiguration für libinput, um die „Emulate3Buttons“-Funktionalität zu aktivieren:

Section "InputClass"
        Identifier "mouse"
        MatchIsPointer "on"
        Driver "libinput"
        Option "MiddleEmulation" "on"
EndSection

Fügen Sie es in /etc/X11/xorg.conf.d/41-middle-emulation.conf ein und starten Sie den Rechner (oder den X-Server) neu; die Funktion sollte nun aktiviert sein.

Der evdev-Treiber ist immer noch in dem Paket xserver-xorg-input-evdev enthalten.

Aufgrund von mangelnder Unterstützung durch die Upstream-Betreuer wurde das Upstart-Init-System aus der Stretch-Veröffentlichung entfernt. Wenn Ihr System dieses Paket verwendet, sollten Sie beachten, dass es während der Lebenszeit von Debian 9 nicht aktualisiert wird; beginnend mit der Veröffentlichung von Debian 10 (Buster) könnten Upstart-Jobs aus den Paketen entfernt werden.

Bitte ziehen Sie einen Wechsel zu einem anderen, unterstützten Init-System, wie systemd oder OpenRC, in Erwägung.

	Anmerkung
	Dieser Abschnitt ist hauptsächlich für Entwickler und Organisationen gedacht, die eigene Debian-Pakete bauen.

Die debhelper-Werkzeuge werden jetzt standardmäßig dbgsym-Pakete für ELF-Binärdateien erzeugen. Wenn Sie Binärdateien entwickeln und paketieren, überprüfen Sie bitte, ob Ihre Vorgehensweise diese zusätzlichen automatisch-generierten Pakete unterstützt.

Wenn Sie reprepro einsetzen, sollten Sie es zumindest auf die Version 4.17.0 aktualisieren. Für aptly benötigen Sie mindestens Version 1.0.0, das aber unglücklicherweise nicht in Debian Stretch enthalten ist.

Falls Ihre Arbeitsweise nicht mit dbgsym-Paketen klarkommt, können Sie debhelper anweisen, diese Funktionalität zu deaktivieren, indem Sie „noautodbgsym“ zur DEB_BUILD_OPTIONS-Variable Ihres Build-Service hinzufügen. Weitere Informationen finden Sie in der dh_strip-Handbuchseite.

Das openssl-Programm erwartet jetzt, dass Options-Argumente vor Nicht-Options-Argumenten angegeben werden. Dies funktioniert zum Beispiel nicht mehr:

openssl dsaparam 2048 -out file

Dies jedoch wohl:

openssl dsaparam -out file 2048

Bei dem openssl enc-Befehl wurde die Standard-Hashfunktion (wird benutzt, um einen Schlüssel aus einer Passphrase zu generieren) von MD5 in SHA256 geändert. Die Hashfunktion kann über die -md-Option festgelegt werden, falls alte Dateien mit einer neuen OpenSSL-Version entschlüsselt werden müssen (oder umgekehrt).

Die Cipher 3DES und RC4 sind nicht mehr für TLS-/SSL-Kommunikation verfügbar. Server, die gegen OpenSSL gelinkt sind, können diese nicht mehr bereitstellen und Clients können sich nicht mehr mit Servern verbinden, die ausschließlich diese Cipher bereitstellen. Das bedeutet, dass OpenSSL und Windows XP sich keine allgemeinen Cipher mehr teilen.

Das Paket libssl-dev enthält Header-Dateien, um ein Kompilieren gegen OpenSSL 1.1.0 zu ermöglichen. Die API hat sich maßgeblich verändert, und es besteht die Möglichkeit, dass sich die Software nicht mehr kompilieren lässt. Es existiert eine Übersicht über die Änderungen. Falls Sie Ihre Software nicht aktualisieren können, gibt es auch noch das Paket libssl1.0-dev, das Header für OpenSSL 1.0.2 enthält.

Die Version der verfahrensorientierten Programmiersprache PostgreSQL PL/Perl in Jessie ist inkompatibel mit der Perl-Version in Stretch. Das Paket postgresql-plperl-9.4 wird während des Upgrade-Prozesses entfernt, somit werden server-seitige Perl-Prozeduren funktionslos. Ein Upgrade auf PostgreSQL 9.6 sollte unkritisch sein; die Prozeduren werden in einem neuen PostgreSQL-Cluster weiter funktionieren, wenn das postgresql-plperl-9.6-Paket installiert ist. Falls Sie unsicher sind, erstellen Sie vor dem Upgrade auf Stretch ein Backup Ihrer PostgreSQL-9.4-Cluster.

Das Paket net-tools ist nicht mehr Teil neuer Standardinstallationen, da seine Priorität von „important“ auf „optional“ herabgesetzt wurde. Benutzer wird stattdessen nahegelegt, die moderneren Werkzeuge aus dem iproute2-Paket zu verwenden (das bereits seit mehreren Debian-Veröffentlichungen Teil der Installation ist). Falls Sie trotzdem die Programme aus net-tools benutzen möchten, können Sie diese einfach installieren mit

apt install net-tools

	Warnung
	Bitte denken Sie daran, dass net-tools während des Upgrades entfernt werden könnte, falls es nur installiert wurde, um eine Abhängigkeit zu erfüllen. Sollten Sie auf net-tools angewiesen sein, vergessen Sie nicht, es vor dem Upgrade mittels folgendem Befehl als „Händisch installiert“ zu markieren: apt-mark manual net-tools

Hier eine Zusammenfassung der net-tools-Befehle mit dem entsprechenden iproute2-Befehl:

	Anmerkung
	Dies betrifft nur Systeme, die ATA-over-ethernet- (AoE) Geräte eingebunden haben. Wenn auf Ihrem System keinerlei Netzwerkfreigaben eingebunden sind, können Sie diesen Abschnitt problemlos überspringen.

Aufgrund von Bereinigungen in der Handhabung von Netzwerk-Dekonfigurationen werden im Einsatz befindliche AoE-Geräte beim Herunterfahren des Systems nicht mehr korrekt behandelt, was möglicherweise zu Hängenbleiben und/oder Datenverlust führen kann. Um die Situation zu entschärfen, wird empfohlen, solche Geräte mit der mount-Option _netdev einzubinden. Diese Option ist auch verfügbar, wenn Sie Swap über AoE nutzen.

Beim Upgrade könnte Ihnen eine Warnung wie diese angezeigt werden:

Unescaped left brace in regex is deprecated, passed through in regex; marked by <-- HERE in m/^(.*?)(\\)?\${ <-- HERE ([^{}]+)}(.*)$/ at /usr/share/perl5/Debconf/Question.pm line 72.
Unescaped left brace in regex is deprecated, passed through in regex; marked by <-- HERE in m/\${ <-- HERE ([^}]+)}/ at /usr/share/perl5/Debconf/Config.pm line 30.

Dies ist harmlos und tritt auf, wenn perl-base vor dem debconf-Paket aktualisiert wird.

	Anmerkung
	Dieser Abschnitt betrifft nur Systeme, die SELinux verwenden; dies ist standardmäßig nicht aktiviert.

In Stretch wurde der SELinux Policy Store von /etc/selinux/<policy_name> nach /var/lib/selinux/<policy_name> verschoben. Außerdem wurde auch das Format innerhalb des Store verändert.

Die von Debian bereitgestellten Policies (z.B. aus dem selinux-policy-default-Paket) werden automatisch migriert. Allerdings müssen systemspezifisch angepasste Policies händisch migriert werden.

Das Paket semanage-utils enthält das Skript /usr/lib/selinux/semanage_migrate_store, das diese Umstellung erledigen kann.

Das iSCSI-Enterprise-Target (IET) - in früheren Veröffentlichungen im Paket iscsitarget enthalten - ist nicht mehr Bestandteil von Debian, da es mit aktuellen Kernel-Versionen nicht mehr funktioniert. Desweiteren gab es bei diesem Projekt über Jahre keine Entwicklungstätigkeiten mehr.

Nutzer von IET werden aufgefordert, auf den LIO-Stack umzusteigen, der in Debian Stretch voll unterstützt wird. Das targetcli-fb-Paket enthält ein Konfigurations-Werkzeug für das LIO-iSCSI-Target.

Da der LIO-Stack unabhängig von IET entwickelt wurde, ist es erforderlich, die Konfiguration händisch zu migrieren.